Vernetzen Sie sich mit uns

Reports

Der Stand des Pentests im Jahr 2025: Warum KI-gesteuerte Sicherheitsvalidierung jetzt ein strategisches Muss ist

mm
Veröffentlicht

Die Umfragebericht zum Stand des Pentests 2025 von Pentera zeichnet ein eindrucksvolles Bild einer Cybersicherheitslandschaft, die unter Druck steht und sich rasant weiterentwickelt. Es geht nicht nur um die Verteidigung digitaler Grenzen, sondern auch darum, wie Unternehmen ihren Sicherheitsansatz transformieren – angetrieben durch Automatisierung, KI-basierte Tools und den unerbittlichen Druck realer Bedrohungen.

Trotz größerer Sicherheitspakete kommt es weiterhin zu Sicherheitsverletzungen

Trotz zunehmend komplexer Sicherheitssysteme berichteten 67 % der US-Unternehmen von Sicherheitsverletzungen in den letzten 24 Monaten. Dabei handelte es sich nicht um geringfügige Vorfälle: 76 % berichteten von direkten Auswirkungen auf die Vertraulichkeit, Integrität oder Verfügbarkeit von Daten, 36 % erlebten ungeplante Ausfallzeiten und 28 % erlitten finanzielle Verluste.

Der Zusammenhang ist klar: Mit zunehmender Komplexität des Stacks steigen auch die Warnmeldungen – und damit die Sicherheitsverletzungen. Unternehmen, die mehr als 100 Sicherheitstools nutzen, verzeichneten durchschnittlich 3,074 Warnmeldungen pro Woche, während Unternehmen mit 76 bis 100 Tools 2,048 Warnmeldungen pro Woche verzeichneten.

Doch diese Datenflut überfordert die Sicherheitsteams oft, verzögert die Reaktionszeiten und führt dazu, dass echte Bedrohungen durch die Maschen schlüpfen.

Cybersicherheitsversicherungen prägen die Einführung von Technologien

Cyberversicherer haben sich zu unerwarteten Treibern von Innovationen im Bereich Cybersicherheit entwickelt. Bemerkenswerte 59 % der US-Unternehmen implementierten neue Sicherheitstools speziell auf Anfrage ihrer Versicherer, und 93 % der CISOs gaben an, dass Versicherer ihre Sicherheitslage beeinflussten. In vielen Fällen gingen diese Empfehlungen über die Einhaltung von Vorschriften hinaus – sie prägten die Technologiestrategie.

Der Aufstieg des softwarebasierten Pentests

Manuelles Pentesting ist nicht mehr die Standardlösung. Über 55 % der Unternehmen setzen mittlerweile auf softwarebasiertes Pentesting in ihren internen Programmen, weitere 49 % nutzen Drittanbieter. Im Gegensatz dazu verlassen sich nur noch 17 % ausschließlich auf interne manuelle Tests.

Dieser Übergang zu automatisiertes Adversarial Testing spiegelt einen breiteren Trend wider: den Bedarf an skalierbarer, wiederholbarer und Echtzeit-Validierung in einer Zeit sich ständig weiterentwickelnder Bedrohungen. Diese automatisierten Plattformen simulieren Angriffe von dateiloser Malware bis hin zur Rechteausweitung und ermöglichen es Unternehmen, ihre Widerstandsfähigkeit kontinuierlich und ohne Unterbrechungen zu bewerten.

Sicherheitsbudgets wachsen – und zwar schnell

Sicherheit wird nicht billiger, aber Unternehmen legen trotzdem Wert darauf. Das durchschnittliche jährliche Budget für Penetrationstests beträgt 187,000 US-Dollar und macht damit 10.5 % der gesamten IT-Sicherheitsausgaben aus. Größere Unternehmen (über 10,000 Mitarbeiter) geben sogar noch mehr aus – durchschnittlich 216,000 US-Dollar pro Jahr.

Bis 2025 planen 50 % der Unternehmen eine Erhöhung ihrer Pentesting-Budgets, und 47.5 % erwarten einen Anstieg ihrer Gesamtausgaben für Sicherheit. Nur 10 % erwarten einen Rückgang der Investitionen. Diese Zahlen verdeutlichen, dass Sicherheit von einer betrieblichen Notwendigkeit zu einer Priorität für die Geschäftsführung geworden ist.

Sicherheitstests hinken noch hinterher

Hier zeigt sich eine erschreckende Diskrepanz: 96 % der Unternehmen melden mindestens vierteljährlich Änderungen an ihrer Infrastruktur, aber nur 30 % führen in der gleichen Häufigkeit Penetrationstests durch. Die Folge? Durch ungetestete Änderungen schleichen sich neue Schwachstellen ein und vergrößern die Angriffsfläche mit jedem Software-Push oder Konfigurationsupdate.

Nur 13 % der großen Unternehmen mit über 10,000 Mitarbeitern führen vierteljährlich Penetrationstests durch. Fast die Hälfte der Unternehmen führt nach wie vor nur einmal jährlich einen Test durch – eine gefährliche Verzögerung in der heutigen dynamischen Bedrohungslandschaft.

Die Risikoausrichtung ist schärfer als je zuvor

Erfreulicherweise konzentrieren sich Sicherheitsverantwortliche bei ihren Tests auf Bereiche, in denen Sicherheitsverletzungen tatsächlich auftreten. Fast 57 % priorisieren webbasierte Ressourcen, gefolgt von internen Servern, APIs, Cloud-Infrastrukturen und IoT-Geräten. Diese Ausrichtung spiegelt das wachsende Bewusstsein wider, dass Angreifer keine Unterschiede machen – sie nutzen jede verfügbare Schwachstelle auf der gesamten Angriffsfläche aus.

Insbesondere APIs haben sich sowohl für Angreifer als auch für Verteidiger zu einem vorrangigen Ziel entwickelt. Diese Schnittstellen werden für den Geschäftsbetrieb immer wichtiger, verfügen jedoch oft nicht über die nötige Transparenz und Standardüberwachung, was sie anfällig für Angriffe macht.

Operationalisierung der Pentest-Ergebnisse

Pentest-Berichte werden nicht länger auf Eis gelegt. Stattdessen leiten 62 % der Unternehmen die Ergebnisse umgehend an die IT-Abteilung weiter, damit diese die notwendigen Maßnahmen priorisieren kann. 47 % teilen die Ergebnisse mit der Geschäftsleitung und 21 % berichten direkt an ihren Vorstand oder ihre Aufsichtsbehörden.

Dieser Handlungswechsel spiegelt eine tiefere Integration von Pentests in das strategische Risikomanagement wider – und nicht nur die reine Abhakung von Compliance-Anforderungen. Sicherheitsvalidierung wird Teil der Geschäftsdiskussion.

Was behindert noch schnellere Fortschritte?

Obwohl die Trends positiv sind, gibt es weiterhin wichtige Hemmnisse. Die beiden größten Hindernisse für häufigere Pentests sind Budgetbeschränkungen (44 %) und der Mangel an verfügbaren Pentestern (48 %) – letzterer spiegelt eine Weltweit fehlen 4 Millionen Cybersicherheitsexperten, so das Weltwirtschaftsforum.

Betriebsrisiken, wie etwa die Angst vor Ausfällen während der Tests, bereiten 30 % der CISOs weiterhin Sorge.

Von der Compliance-Pflicht zur strategischen Waffe

Pentests haben sich weit über ihre Anfänge als regulatorische Anforderung hinaus entwickelt. Heute unterstützen sie strategische Initiativen, darunter Due Diligence bei Fusionen und Übernahmen sowie Entscheidungsprozesse auf Führungsebene. Fast ein Drittel der Befragten nennt mittlerweile „Auftrag der Geschäftsführung“ und „Vorbereitung auf Fusionen und Übernahmen“ als Hauptgründe für die Durchführung von Pentests.

Dies markiert einen grundlegenden Wandel: von einer reaktiven ĂśberprĂĽfung hin zu einer proaktiven und kontinuierlichen Messung der Cyber-Resilienz.

AbschlieĂźende Gedanken

Die Umfragebericht zum Stand des Pentests 2025 ist mehr als nur ein Status-Update – es ist ein Weckruf. Angesichts wachsender Angriffsflächen und immer raffinierterer Bedrohungsakteure können sich Unternehmen langsame, manuelle oder isolierte Sicherheitstests nicht mehr leisten. KI-gestütztes, softwarebasiertes Penetrationstesting schließt diese Lücke mit Geschwindigkeit, Skalierbarkeit und Erkenntnissen.

In dieser neuen Ă„ra werden diejenigen Organisationen erfolgreich sein, die die Sicherheitsvalidierung nicht nur als technische Notwendigkeit, sondern als strategisches Gebot betrachten.

Für weitere Informationen laden Sie die vollständige Umfragebericht zum Stand des Pentests 2025 von Pentera.

Verwandte Themen:
mm

Antoine ist ein visionärer Leiter und Gründungspartner von Unite.AI, angetrieben von einer unerschütterlichen Leidenschaft für die Gestaltung und Förderung der Zukunft von KI und Robotik. Als Serienunternehmer glaubt er, dass KI für die Gesellschaft ebenso umwälzend sein wird wie Elektrizität, und schwärmt oft vom Potenzial disruptiver Technologien und AGI.

Als Futuristwidmet er sich der Erforschung, wie diese Innovationen unsere Welt prägen werden. Darüber hinaus ist er der Gründer von Wertpapiere.io, eine Plattform, deren Schwerpunkt auf Investitionen in Spitzentechnologien liegt, die die Zukunft neu definieren und ganze Branchen umgestalten.